Настроика сети Proxmox

0

1

Всем привет! Шли 5 сутки боя...лыжы не едут.. ситуация: proxmox 4.4-13 на дедике хетзнера, установлен, запущен, установлена vm - serv2008. сеть с одним белым ip , внутри проксмоса два бриджа, на первом висит внешний ip на втором локльная сетка виртуалок.(стандартная схема:маскарад+проброс портов нат), прокинуты порты снаружи на VM, сервисы работают без нареканий.

проблема: не могу вылезти в инет с виртуальных машин! вообще! пинг с виртуалок на виртуалку, на прохмос сервер, на мой внешний ip идет, НА шлюз хостера НЕ ИДЕТ, на все остальные адреса интернета не идет. пинг с проксмоса на ВМ, на шлюз хостера, на весь интернет - ИДЕТ.

снимаю галку firewall в настроиках оборудования -сетевой карты ВМ - пинги пошли наружу! Ставлю - не идут.. Неохота без фаервола быть..

настроики экрана datacenter in:accept out:accept

host in:accept out:accept

vm in:accept out:accept

/etc/network/interfaces

auto lo

iface lo inet loopback

iface lo inet6 loopback

iface eth0 inet manual

auto vmbr0

iface vmbr0 inet static

address 77.88.99.111

netmask 255.255.255.192

gateway 77.88.99.65

bridge_ports eth0

bridge_stp off

bridge_fd 0

auto vmbr1

iface vmbr1 inet static

address 10.0.0.1

netmask 255.255.255.0

bridge_ports none

bridge_stp off

bridge_fd 0

post-up echo 1 > /proc/sys/net/ipv4/ip_forward

post-up iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

post-up iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 1000 -j DNAT --to 10.0.0.2:3389

post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 1000 -j DNAT --to 10.0.0.2:3389

post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.0.0.2:80

post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.0.0.2:80

(для «любителей» винды - соседняя вм машина на линукcе - таж фигня с пингами и интернетами) зы я новичок в линухах, если инфы недостаточно - предоставлю еще. psps я какбы чую что проблема то в фаерволе, но понять не могу, если он на accept, да еще потом отключенный, как он может влиять на прохождение?

Ссылка

←	Не кэшируются is_file, is_dir и file_exists

Не срабатывает post-up

→

Насколько я помню, там есть несколько мест, где может настраиваться фаервол. Обрати внимание на:

макросы, если ты их используешь (задаются в настройках датацентра).
правила для VM
фаерволы внутри VM (внезапно)

Попробуй запустить на vm

ping -f google.com

и посмотреть при помощи

iptables -t <таблица> -v -n -L

у какого правила накручиваются счётчики (watch -d в помощь).

Если не разберешься, то запости сюда вывод

iptables -t <таблица> -S

для таблиц mangle, filter, nat (пожалуйста, в спойлерах, см. описание LORCODE).

Harliff ★★★★★
(20.05.17 03:12:42 MSK)

Ссылка

А что у VM стоит в качестве шлюза? Шлюз пингуется?

Traceroute до 8.8.8.8 что показывает?

Harliff ★★★★★
(20.05.17 03:18:56 MSK)

сеть настроена правильно.

Но прежде чем включать фаервол, может надо его настроить, разрешить пинги, например?

И самое главное зачем нужен фаервол машинам за натом?

constin ★★★★
(20.05.17 12:05:50 MSK)

Ответ на: комментарий от Harliff 20.05.17 03:18:56 MSK

читайте пост до конца. все у него идет до тех пор, пока он зачем-то не включает фаервол, который все запрещает.

constin ★★★★
(20.05.17 12:08:20 MSK)

Ссылка

Ответ на: комментарий от Harliff 20.05.17 03:18:56 MSK

на внешнем интерфеисе обрывается

aleks79
(21.05.17 10:23:19 MSK) автор топика

Ссылка

Ответ на: комментарий от constin 20.05.17 12:05:50 MSK

ну нат, да, но я хочу фильтровать по ip вход соединения. только разрешенные адреса

aleks79
(21.05.17 10:24:46 MSK) автор топика

Ответ на: комментарий от Harliff 20.05.17 03:18:56 MSK

А что у VM стоит в качестве шлюза? Шлюз пингуется?

Traceroute до 8.8.8.8 что показывает?

у вм шлюзом стоит внутренний бридж vmbr1. шлюз, внешний ip, другая ВМ все пингуется

aleks79
(21.05.17 10:27:21 MSK) автор топика

Ссылка

Ответ на: комментарий от aleks79 21.05.17 10:24:46 MSK

так покажите настройки фаервола на pve

constin ★★★★
(21.05.17 11:21:12 MSK)

Ответ на: комментарий от constin 21.05.17 11:21:12 MSK

[OPTIONS]

macfilter: 0 ndp: 1 ipfilter: 0 log_level_in: info radv: 0 enable: 1 log_level_out: info policy_in: DROP

[IPSET allow]

куча адресов которым надо попасть на сервер

[RULES]

IN ACCEPT -source *.домадрес*.100.178 -p tcp -dport 80
IN Ping(ACCEPT)
IN ACCEPT -source +allow -p tcp
IN ACCEPT -source *.домадрес.100.178 -p tcp -dport 3389

что тут можно не так сделать то??

aleks79
(21.05.17 14:27:18 MSK) автор топика

Ссылка

Ответ на: комментарий от constin 21.05.17 11:21:12 MSK

cluster.fw [OPTIONS]

policy_out: ACCEPT enable: 1 policy_in: DROP

aleks79
(21.05.17 14:28:23 MSK) автор топика

Ссылка

может не выеживатся с маскарадами и мостами, да купить пару белых ip?

aleks79
(21.05.17 14:30:43 MSK) автор топика

Ответ на: комментарий от aleks79 21.05.17 14:30:43 MSK

root@ZServ ~ # iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 10001 -j DNAT --to-destination 10.0.0.2:3389
-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.0.0.2:80
-A POSTROUTING -o vmbr0 -j MASQUERADE
-A POSTROUTING -s 10.0.0.0/24 -o vmbr0 -j MASQUERADE

aleks79
(21.05.17 14:54:15 MSK) автор топика

Ответ на: комментарий от aleks79 21.05.17 14:54:15 MSK

root@ZServ ~ # iptables -t mangle -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT

aleks79
(21.05.17 14:54:59 MSK) автор топика

Ответ на: комментарий от aleks79 21.05.17 14:54:59 MSK

root@ZServ ~ # iptables -t filter -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N PVEFW-Drop
-N PVEFW-DropBroadcast
-N PVEFW-FORWARD
-N PVEFW-FWBR-IN
-N PVEFW-FWBR-OUT
-N PVEFW-HOST-IN
-N PVEFW-HOST-OUT
-N PVEFW-INPUT
-N PVEFW-OUTPUT
-N PVEFW-Reject
-N PVEFW-SET-ACCEPT-MARK
-N PVEFW-logflags
-N PVEFW-reject
-N PVEFW-smurflog
-N PVEFW-smurfs
-N PVEFW-tcpflags
-N tap100i0-IN
-N tap100i0-OUT
-A INPUT -j PVEFW-INPUT
-A FORWARD -j PVEFW-FORWARD
-A OUTPUT -j PVEFW-OUTPUT
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A PVEFW-Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Drop -p udp -m multiport --dports 135,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-A PVEFW-Drop -m comment --comment «PVESIG:zfGV4KTPaxGVOCwRUVqqqbR0IhM»
-A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type MULTICAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
-A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
-A PVEFW-DropBroadcast -m comment --comment
«PVESIG:NyjHNAtFbkH7WGLamPpdVnxHy4w»
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-A PVEFW-FORWARD -m comment --comment «PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw»
-A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-FWBR-IN -m physdev --physdev-out tap100i0 --physdev-is-bridged -j tap100i0-IN
-A PVEFW-FWBR-IN -m comment --comment «PVESIG:/naDZxJ06t8Dx9DQtmus9NvdHEA»
-A PVEFW-FWBR-OUT -m physdev --physdev-in tap100i0 --physdev-is-bridged -j tap100i0-OUT
-A PVEFW-FWBR-OUT -m comment --comment «PVESIG:wA3mj3VIKyC/rlY95PCFN7paR5s"v -A PVEFW-HOST-IN -i lo -j ACCEPT
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-HOST-IN -p igmp -j RETURN
-A PVEFW-HOST-IN -p icmp -m icmp --icmp-type 8 -j RETURN
-A PVEFW-HOST-IN -p udp -m udp --dport 53 -j RETURN
-A PVEFW-HOST-IN -p tcp -m tcp --dport 53 -j RETURN
-A PVEFW-HOST-IN -s x.x.100.178/32 -p tcp -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -s x.x.100.178/32 -p tcp -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -j PVEFW-Drop
-A PVEFW-HOST-IN -j NFLOG --nflog-prefix »:0:6:PVEFW-HOST-IN: policy DROP: "
-A PVEFW-HOST-IN -j DROP
-A PVEFW-HOST-IN -m comment --comment «PVESIG:DwaZKycgqh0RZ0Vp37cYJSuS7t8»
-A PVEFW-HOST-OUT -o lo -j ACCEPT
-A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-HOST-OUT -p igmp -j RETURN
-A PVEFW-HOST-OUT -p udp -m addrtype --dst-type MULTICAST -m udp --dport 5404:5405 -j RETURN
-A PVEFW-HOST-OUT -j RETURN
-A PVEFW-HOST-OUT -m comment --comment «PVESIG:L8d2Byt5q540vZEVq19JTvZuTuw»
-A PVEFW-INPUT -j PVEFW-HOST-IN
-A PVEFW-INPUT -m comment --comment «PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk»
-A PVEFW-OUTPUT -j PVEFW-HOST-OUT
-A PVEFW-OUTPUT -m comment --comment
«PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0»
-A PVEFW-Reject -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Reject -j PVEFW-DropBroadcast
-A PVEFW-Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A PVEFW-Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Reject -p udp -m multiport --dports 135,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 137:139 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-reject
-A PVEFW-Reject -p tcp -m multiport --dports 135,139,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Reject -p udp -m udp --sport 53 -j DROP
-A PVEFW-Reject -m comment --comment «PVESIG:3gYHaSHlZx5luiKyM0oCsTVaXi4»
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m comment --comment «PVESIG:K9jRaFw5I2si1xj1eGi18ZF/Ng0»
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m comment --comment «PVESIG:ewllejV/lK5Rjmt/E3xIODQgfYg"v -A PVEFW-reject -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-reject -s 224.0.0.0/4 -j DROP
-A PVEFW-reject -p icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
-A PVEFW-reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A PVEFW-reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A PVEFW-reject -j REJECT --reject-with icmp-host-prohibited
-A PVEFW-reject -m comment --comment „PVESIG:KM/fOv4KvGn8XvMqxoiRCdvlji8“
-A PVEFW-smurflog -j DROP
-A PVEFW-smurflog -m comment --comment „PVESIG:k8rhuGB1IUidugKwAufSGGgKAZ4“
-A PVEFW-smurfs -s 0.0.0.0/32 -j RETURN
-A PVEFW-smurfs -m addrtype --src-type BROADCAST -g PVEFW-smurflog
-A PVEFW-smurfs -s 224.0.0.0/4 -g PVEFW-smurflog
-A PVEFW-smurfs -m comment --comment „PVESIG:HssVe5QCBXd5mc9kC88749+7fag“
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g
PVEFW-logflags-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-A PVEFW-tcpflags -m comment --comment „PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo“
-A tap100i0-IN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A tap100i0-IN -s x.x.100.178/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A tap100i0-IN -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A tap100i0-IN -p tcp -m set --match-set PVEFW-100-allow-v4 src -j ACCEPT
-A tap100i0-IN -s x.x.100.178/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A tap100i0-IN -j PVEFW-Drop
-A tap100i0-IN -j NFLOG --nflog-prefix »:100:6:tap100i0-IN: policy DROP: "
-A tap100i0-IN -j DROP
-A tap100i0-IN -m comment --comment «PVESIG:uAryPoeF3j5PjJqXyFykX79yelc»
-A tap100i0-OUT -p udp -m udp --sport 68 --dport 67 -g PVEFW-SET-ACCEPT-MARK
-A tap100i0-OUT -j MARK --set-xmark 0x0/0x80000000
-A tap100i0-OUT -g PVEFW-SET-ACCEPT-MARK
-A tap100i0-OUT -m comment --comment «PVESIG:oHj3e100tezJyWI4W/xh5MpjoU8»

x.x.100.178/32 - дом адрес, к делу отношения не имеет, и ни нк что не влияет.

aleks79
(21.05.17 15:18:03 MSK) автор топика

Ответ на: комментарий от aleks79 21.05.17 15:18:03 MSK

чесн слово -cut пользовал....

aleks79
(21.05.17 15:18:54 MSK) автор топика

Ответ на: комментарий от aleks79 21.05.17 15:18:54 MSK

в общем повторил подвиг на «лабораторном стенде» все повторилось - косяк proxmos-a(ставил на голый комп из образа), копать дальше нет времени, тупо купил подсеть хетзнера, перенастроил бриджи, все работает, спасибо за участие :)

aleks79
(22.05.17 19:03:38 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не кэшируются is_file, is_dir и file_exists

Admin

Не срабатывает post-up

→

Похожие темы